SWIFT Alliance Koneksi Virtual di Azure

Rangkaian artikel ini menyediakan panduan untuk menggunakan komponen SWIFT di Azure. Artikel ini membahas komponen dasar contoh arsitektur dalam seri.

Audiens yang dimaksudkan untuk artikel ini adalah manajer program, arsitek, dan insinyur yang menerapkan komponen SWIFT di Azure. Dokumentasi ini diatur ke dalam struktur berikut:

• Gambaran umum tingkat tinggi tentang arsitektur Azure untuk menyebarkan komponen SWIFT (artikel ini)
• Arsitektur referensi terperinci untuk setiap komponen (tautan di bagian Sumber daya terkait)

Arsitektur

Arsitektur referensi tingkat tinggi berikut menunjukkan konektivitas ke jaringan SWIFT. Untuk informasi selengkapnya tentang komponen SWIFT, lihat glosarium SWIFT.

Unduh file Visio arsitektur ini. Lihat tab vSRX-HA .

Penyebaran SWIFT di Azure berisi berbagai komponen. Komponen utama dijelaskan di bagian berikut.

Pusat data atau kolokasi pelanggan

Bagian arsitektur ini mewakili situs lokal tempat pengguna bisnis berinteraksi dengan komponen SWIFT. Aplikasi pemrosesan bisnis lainnya yang berjalan secara lokal juga dapat terhubung dengan komponen SWIFT. Harus ada konektivitas jaringan antara situs ini dan Azure, tempat komponen SWIFT disebarkan.

Modul Keamanan Perangkat Keras SWIFT

Untuk memastikan kepatuhan terhadap Program Keamanan Pelanggan (CSP) SWIFT - Customer Security Controls Framework (CSCF), Modul Keamanan Perangkat Keras SWIFT (HSM) harus dihosting secara fisik. Ini bisa lokal atau di pusat data kolokasi. Konektivitas jaringan antara Azure dan situs yang menjalankan HSM diperlukan untuk penyebaran komponen SWIFT.

Aliansi Koneksi Virtual (vSRX) dalam konfigurasi ketersediaan tinggi

SWIFT Alliance Koneksi Virtual adalah komponen konektivitas yang harus Anda sambungkan ke SWIFT, melalui SWIFT Multi-Vendor Secure IP Network (MVSIPN). Sesuai CSP-CSCF, Alliance Koneksi Virtual adalah solusi konektivitas yang dapat disebarkan cloud yang dapat dihosting secara virtual di Azure. Diagram arsitektur menunjukkan penyebaran Alliance Koneksi Virtual dalam konfigurasi ketersediaan tinggi. Appliance vSRX yang disebarkan dalam dua node membahas persyaratan ketersediaan tinggi dengan memberikan ketahanan.

Konektivitas jaringan SWIFT dan komponen olahpesan

SWIFT menawarkan berbagai komponen konektivitas untuk transfer pesan keuangan keamanan yang ditingkatkan. Untuk informasi tentang memilih modul konektivitas, lihat panduan SWIFT. Persyaratan fungsi, volume transaksi, dan persyaratan keamanan Anda dapat memengaruhi pilihan Anda. Bagian berikutnya menjelaskan komponen utama yang tersedia untuk organisasi yang memproses transfer pesan pembayaran.

Aliansi Koneksi Solusi konektivitas jaringan virtual

SWIFT menawarkan tiga opsi konektivitas virtual Aliansi. Anda dapat memilih opsi yang paling cocok untuk volume lalu lintas pesan dan tingkat ketahanan yang diperlukan. Untuk informasi selengkapnya, lihat artikel solusi olahpesan tertentu.

• Aliansi Koneksi Perunggu Virtual. Dengan opsi ini, Anda menghubungkan satu instans VPN dengan menggunakan satu penyedia layanan internet (ISP). Anda dapat meningkatkan ketahanan dengan menggunakan dua instans VPN dan dua koneksi ISP. Dalam skenario ini, arus lalu lintas melalui koneksi utama, dan koneksi cadangan digunakan jika koneksi utama gagal.

• Aliansi Koneksi Virtual Silver. Dengan opsi ini, Anda menggunakan Azure ExpressRoute sebagai koneksi utama dan internet sebagai cadangan. Koneksi ExpressRoute khusus menyediakan bandwidth yang dijamin untuk SWIFT. Biaya berkurang ketika Anda menggunakan koneksi internet lokal sebagai saluran cadangan saat Anda menggunakan dua instans VPN.

• Aliansi Koneksi Emas Virtual. Opsi ini memberikan tingkat layanan tertinggi dan ketahanan produk Koneksi Aliansi. Koneksi ke SWIFT menggunakan dua koneksi ExpressRoute dengan kapasitas yang sama. Opsi ini dirancang untuk pelanggan yang menangani lebih dari 40.000 pesan per hari dan memerlukan tingkat ketahanan tertinggi.

Kami menyarankan agar Anda membaca lebih lanjut tentang opsi ini di situs web SWIFT.

Selain itu, lihat file Visio untuk arsitektur yang mengilustrasikan penggunaan solusi ini dengan masing-masing dari tiga opsi konektivitas: Gold, Silver, dan Bronze.

Bagian berikutnya menjelaskan komponen utama yang tersedia untuk organisasi yang memerlukan konektivitas SWIFT.

Akses Aliansi

Jika konfigurasi Anda didasarkan pada Akses Aliansi, Anda memerlukan komponen ini:

• Akses Aliansi, Platform Web, Gateway Aliansi SWIFT (SAG) / SWIFTNet Link (SNL), dan solusi konektivitas Jaringan virtual Koneksi Aliansi
• Appliance HSM lokal untuk membantu mengamankan pesan yang dikirim melalui SWIFTNet

Hub Olahpesan Aliansi

Jika konfigurasi Anda didasarkan pada Alliance Messaging Hub (AMH), Anda memerlukan komponen-komponen ini:

• AMH, Workbench, SAG/SNL, dan solusi konektivitas jaringan virtual Koneksi Aliansi
• Appliance HSM lokal untuk membantu mengamankan pesan yang dikirim melalui SWIFTNet

Aliansi Lite2

Jika konfigurasi Anda didasarkan pada Alliance Lite2, Anda memerlukan komponen-komponen ini:

• Komputer virtual Alliance Lite2 AutoClient dan solusi konektivitas jaringan Virtual Koneksi Aliansi
• Manajemen token fisik dari lokal

Aliansi Cloud

Jika konfigurasi Anda didasarkan pada Alliance Cloud, Anda memerlukan komponen-komponen ini:

• Komputer virtual SWIFT Integration Layer (SIL) dan solusi konektivitas jaringan virtual Koneksi Aliansi
• Manajemen token fisik dari lokal

Menyebarkan solusi SWIFT pada komputasi rahasia Azure

Komputasi rahasia melindungi data saat digunakan, bersama dengan metode yang ada untuk melindungi data tidak aktif dan saat transit, berkat Trusted Execution Environments (TEEs). TEEs mengenkripsi dan mengisolasi kode dan data di lingkungan yang dapat dikonfigurasi sehingga bahkan Azure, sebagai penyedia cloud, tidak diizinkan mengakses. Dengan komputasi rahasia, pelanggan memiliki jaminan yang dapat diverifikasi bahwa data dan kode beban kerja mereka berada di bawah kendali mereka sejak data dan kode dibuat sampai mereka dihancurkan.

Beberapa beban kerja mengharuskan lingkungan operasi cloud mereka memastikan bahwa data dilindungi setiap saat selama seluruh siklus hidupnya, bahkan selama peristiwa langka seperti akses data yang sah atau terhadap karyawan nakal. Komputer virtual rahasia Azure dengan prosesor AMD dan teknologi SEV-SNP tersedia. Mesin virtual ini memberikan batasan yang kuat dan didukung perangkat keras untuk membantu memenuhi kebutuhan keamanan Anda. Anda dapat memigrasikan beban kerja Anda ke VM rahasia Azure tanpa membuat perubahan pada kode Anda. Platform ini melindungi status komputer virtual Anda agar tidak dibaca atau dimodifikasi.

VM rahasia Azure (DCasv5/ECasv5) menawarkan TEE baru berbasis perangkat keras yang menggunakan SEV-SNP, di mana memori VM dienkripsi dengan integritas yang dijamin. Kunci enkripsi memori adalah perangkat keras yang dihasilkan dan dijaga untuk mencegah potensi serangan tetangga. Ini juga memiliki perlindungan tamu yang diperkuat untuk menolak hypervisor dan kode manajemen host lainnya dari mengakses memori dan status VM, yang membantu melindungi dari akses operator. Pelanggan di industri yang diatur, seperti perbankan, layanan kesehatan, dan sektor publik, dapat memigrasikan beban kerja sensitif mereka dari lingkungan lokal ke cloud dengan dampak performa minimal dan tanpa perubahan kode.

Fitur utama lainnya, seperti pengesahan jarak jauh yang dapat diverifikasi, vTPM, boot aman, dan enkripsi rahasia disk OS penuh, memberikan postur keamanan yang ditingkatkan ke sistem rahasia seperti komponen Olahpesan SWIFT.

Pelanggan, termasuk grup Microsoft Treasury Milik Microsoft sendiri, telah menggunakan komputasi rahasia Azure untuk menghosting modul konektivitas SWIFT untuk memenuhi persyaratan keamanan yang lebih tinggi. Untuk saat ini, hanya modul konektivitas yang dapat disebarkan menggunakan komputasi rahasia Azure. Appliance virtual Alliance Koneksi Virtual (ACV) tidak dapat dihosting di komputasi rahasia Azure.

Layanan Azure bersama (opsional)

Bagian ini menjelaskan layanan bersama yang melengkapi semua komponen SWIFT. Layanan bersama dapat mencakup pemantauan, keamanan, kepatuhan, dan manajemen kunci dan layanan operasional lainnya. Beberapa layanan utama ditampilkan di sini:

• Anda dapat menggunakan Azure Policy untuk memberlakukan kontrol keamanan lain dan persyaratan SWIFT CSP.
• Azure Logic Apps mendukung olahpesan SWIFT asli. Ini menyediakan lebih dari 400 konektor untuk membantu Anda memproses dan mengubah pesan secara asli.
• Anda dapat menggunakan Azure Monitor untuk memantau infrastruktur SWIFT yang berjalan di Azure.
• Anda dapat menggunakan ID Microsoft Entra untuk mengintegrasikan autentikasi dan kontrol akses bagi pengguna yang mengakses komponen SWIFT.
• Anda dapat menggunakan Azure Key Vault untuk menyimpan kunci dan sertifikat yang digunakan untuk komponen SWIFT. Key Vault adalah komponen yang diperlukan saat Anda menjalankan Alliance Koneksi Virtual.

Arsitektur yang diusulkan menunjukkan penggunaan layanan Azure asli, tetapi Anda dapat menggunakan layanan Azure atau mitra lain yang memenuhi persyaratan.

Kebijakan Azure

Menanggapi lanskap ancaman cyber, SWIFT memperkenalkan CSP, serangkaian kontrol keamanan wajib. Microsoft menawarkan cetak biru untuk membantu Anda menilai kontrol dalam kerangka kerja CSP. Azure Blueprints adalah layanan gratis yang menyederhanakan dan mendukung implementasi kontrol. Ini juga memungkinkan pemantauan dan audit berkelanjutan. Dengan menggunakan Azure Blueprints, Anda dapat menentukan serangkaian sumber daya dan kebijakan Azure yang dapat diulang yang menerapkan dan mematuhi persyaratan standar, pola, dan kontrol. Anda dapat menggunakan Azure Blueprints untuk menyiapkan lingkungan Azure yang diatur dalam skala besar yang dapat membantu Anda menjaga implementasi produksi Tetap aman dan sesuai. Pertimbangkan untuk menggunakan implementasi terbaru kontrol SWIFT CSP, tetapi pertama-tama berkonsultasi dengan tim Microsoft yang sedang Anda kerjakan.

Untuk informasi selengkapnya, lihat Gambaran Umum sampel cetak biru SWIFT CSP-CSCF v2020.

Logic Apps

Logic Apps adalah platform integrasi Azure sebagai penawaran layanan (iPaaS ). Ini adalah mesin alur kerja skala cloud kontainer yang fleksibel. Logic Apps menyediakan pemrosesan asli pesan SWIFT, yang dapat membantu Anda memodernisasi infrastruktur pembayaran Anda di cloud. Ini menyediakan kemampuan integrasi hibrid ke aplikasi lokal melalui jaringan virtual untuk membantu Anda mengintegrasikan berbagai layanan Azure. Logic Apps menyediakan lebih dari 400 konektor untuk otomatisasi cerdas, integrasi, pergerakan data, dan banyak lagi. Konektor SWIFT mengubah pesan file datar SWIFT menjadi XML dan sebaliknya, dan mereka memberikan validasi berdasarkan skema dokumen.

Anda dapat menggunakan layanan Logic Apps untuk memproses transaksi pembayaran dengan cepat. Misalnya, Anda dapat mengintegrasikan sistem SAP back-end Anda ke SWIFT, melalui Logic Apps, untuk memproses transaksi pembayaran dan pengakuan bisnis. Sebagai bagian dari pemrosesan ini, Logic Apps memvalidasi transaksi dan memeriksa duplikat dan anomali.

Kontributor

Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.

Penulis utama:

• Gansu Adhinarayanan | Direktur - Partner Technology Strategist
• Mahesh Kshirsagar | Arsitek Solusi Cloud Senior
• Ravi Sharma | Arsitek Solusi Cloud Senior

Untuk melihat profil LinkedIn non-publik, masuk ke LinkedIn.

Langkah berikutnya

• Antarmuka dan Integrasi SWIFT
• Apa itu Azure Policy?
• Apa itu Azure Logic Apps?
• Gambaran Umum Azure Monitor
• Apa itu ID Microsoft Entra?
• Tentang Azure Key Vault

Sumber daya terkait

Jelajahi arsitektur Azure berikut untuk antarmuka olahpesan SWIFT:

• Akses Aliansi SWIFT dengan Aliansi Koneksi Virtual
• SWIFT Alliance Messaging Hub (AMH) dengan Aliansi Koneksi Virtual
• SWIFT Alliance Cloud di Azure
• SWIFT Alliance Lite2 di Azure